Analyse de risques cybersécurité
Analyse des risques cybersécurité : DASEC adopte la méthodologie EBIOS-RISK MANAGER de l’ANSSI
Dans la démarche de mise en place de bonnes pratiques cybersécurité, l’appréciation des risques est une étape majeure. Elle permet de positionner le niveau optimal et adéquat de sécurité dans tous les composants d’un Système d’Information(SI), et ceci en fonction des besoins des métiers et des clients. La méthodologie utilisée par Dasec pour la réalisation d’analyse de risques cybersécurité s’appuie sur la méthodologie EBIOS-RISK MANAGER (2018) éditée par l’ANSSI et sur la norme ISO 27005.
EBIOS RM permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maîtriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-vis de ses partenaires.
Analyse de risques cybersécurité : définir le niveau de sécurité à atteindre
Au sein d’une organisation, l’analyse des risques cybersécurité est utilisée pour plusieurs objectifs. Il s’agit d’abord de mettre en place et renforcer le processus de management du risque sécurité au sein d’une organisation.
Ensuite, il convient de définir le niveau de sécurité à atteindre selon ses cas d’usage envisagés, les risques à contrer et les exigences légales, réglementaires et contractuelles à respecter.
EBIOS RM se caractérise par une approche sous deux axes :
1) par la conformité avec la définition d’un socle de sécurité de base à mettre en place (issue du référentiel 27001, des exigences légales, réglementaires et contractuelles applicables et des bonnes pratiques de l’état de l’art en sécurité)
2) par scénarios par la construction de la démarche d’analyse des risques basée sur la mise en place d’ateliers participatifs pour la construction des scénarios de risques métiers et techniques.
Définir une stratégie de traitement du risque
Première étape : le cadrage du socle de sécurité permet d’identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Il s’agit également de recenser des missions, valeurs métier et biens supports du système d’information 27001, identifier des événements redoutés associés aux valeurs métier et évaluer la gravité de leurs impacts ; définir le socle de sécurité et les écarts (conformité aux exigences 27001 et autres exigences légales, réglementaires et contractuelles applicables)
Seconde étape : Dasec identifie et caractérise des sources de risque (SR) et leurs objectifs de haut niveau.
Troisième étape : des scénarios de haut niveau (scénarios stratégiques) sont construits : ils représentant les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. La cartographie de la menace sécurité est établie et évaluée en termes de gravité.
Quatrième temps : Dasec construit des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques, puis évalue le niveau de vraisemblance des scénarios opérationnels obtenus.
Cinquième étape : une synthèse de l’ensemble des risques étudiés est produite en vue de définir une stratégie de traitement du risque. Le plan de traitement des risques décrit les mesures de sécurité d’amélioration continue, les risques résiduels sont identifiés au sein d’un cadre de suivi des risques.
L’approche de l’analyse des risques par Dasec combine l’ensemble des cas d’usages d’une organisation : systèmes industriels, protection des données personnelles, objets connectés… L’ensemble des critères de sécurité sont abordés : la confidentialité de l’information, la continuité des activités, la traçabilité des événements, l’intégrité des données.
Dasec a adapté la méthodologie EBIOS RM de l’ANSSI, grâce à un outillage avec la solution Make IT Safe. Elle adresse l’ensemble des risques d’une organisation : services supports, filiales, fournisseurs, partenaires…
Besoin de plus d'information ?
Services complémentaires
PSSI : Politique de Sécurité des Systèmes d’Information
Pilotage des risques fournisseurs
Suivez l'expertise DASEC en vous abonnant à la newsletter
Les informations recueillies à partir de ce formulaire sont traitées par DASEC
pour vous inscrire à sa newsletter.
Pour connaître vos droits et la politique de DASEC sur la protection des données,